有些人無法停止談論密碼的死亡。密碼是舊的,不安全的,很容易洩露。很快,我們都將使用生物識別、硬體安全金鑰和其他未來的解決方案,對嗎?嗯,沒那麼快。
我們採訪了1Password的安全主管Jeffery Goldberg,他說他“謹慎樂觀地認為,這次我們可能會看到密碼問題有所改善。”
這是一個樂觀的看法,它遠沒有死亡的密碼。
早在2018年5月,在討論公司“構建一個沒有密碼的世界”的目標時,微軟的安全團隊寫道:
“Nobody likes passwords. They are inconvenient, insecure, and expensive. In fact, we dislike them so much that we’ve been busy at work trying to create a world without them—a world without passwords.”
隨著時間的推移,密碼變得越來越煩人,我們都知道重複使用密碼的風險。如果您在多個網站上使用相同的密碼,並且存在密碼洩漏,則可以使用您的密碼訪問其他網站上的帳戶。因此,您需要為您使用的每個服務選擇一個強大、唯一的密碼。在少數網站上重複使用簡短密碼的日子一去不復返了。
對於大多數沒有超人記憶的人來說,不可能為每個線上帳戶記住一個強大、唯一的密碼。這就是為什麼我們建議密碼管理器,他們記住所有這些強大的,唯一的密碼給你。你只需要記住你的主密碼,這比記住100要容易得多,而且比重複使用同一個密碼要安全得多。
即使使用密碼管理器,這也不是完全安全的。在你的系統上有一個鍵盤記錄器的人可以捕獲你的密碼並以你的身份登入。這就是為什麼服務增加了額外的安全性。我們通常鍵入一個密碼,然後用一個程式碼或金鑰進行第二次身份驗證。
有更好的辦法嗎?
戈德伯格說,他看到“一個又一個計劃”在過去20年中提出要殺死密碼,其中許多人沒有從過去失敗的經驗中吸取教訓。但是,由於像更強大的本地裝置這樣的進步,新的可能會有更好的成功機會。
生物識別技術可以取代密碼。您可以使用觸控或人臉識別(生物識別)來登入iPhone,而不是鍵入PIN。Android**也有指紋和人臉登入功能。
您現在還可以建立“無密碼”的Microsoft帳戶來登入Windows。您的使用者名稱是您的電話號碼,而您鍵入的“密碼”是透過簡訊傳送到您的電話號碼的程式碼。
您還可以使用物理安全金鑰而不是密碼來驗證您的線上帳戶。您可以隨身攜帶鑰匙(甚至可以將鑰匙放在鑰匙鏈上),並在登入時透過USB、NFC或藍芽使用鑰匙。
**也可以代替密碼。谷歌現在允許Android裝置充當FIDO2鍵。在膝上型電腦上登入網站時,您可能還需要透過**上的指紋進行身份驗證。
許多公司試圖透過提供“單點登入”服務來減少對密碼的依賴。這是當你登入到Facebook、Google等,然後使用該帳戶登入到其他服務時,不需要額外的密碼。
不過,這裡有個大問題。被吹捧為密碼“替代品”的技術實際上並不是替代品,至少現在還不是。
生物識別技術,如人臉識別或觸控識別,仍然需要在您的裝置上同時提供密碼和Apple ID密碼。有些任務也需要一個用於後臺加密的PIN。Android上的生物識別功能和windows10上的Windows Hello基本上是一樣的,作為一種方便的功能。登入到您的裝置更容易,因為您不必每次都鍵入密碼,但它不會替換您的密碼。
一個無密碼的帳戶傳送電話號碼給你也不是很好。此服務不會為您的帳戶生成一個密碼,而是在您每次嘗試登入時生成一個新密碼,並透過簡訊傳送給您。與傳統的單一密碼加上登入時傳送給您的安全程式碼的方法相比,這種方法的安全性較差。
不幸的是,攻擊者很容易在許多情況下竊取電話號碼,這使得這不太安全。在電話號碼無處不在的國家,這是一個很好的聯絡方式,它減少了註冊賬戶的摩擦,這也是亞馬遜提供這種服務的原因。但替換密碼並不是一個好的解決方案。
大多數採用物理安全金鑰的服務都將其用作附加的身份驗證選項。您仍然使用密碼登入,然後提供安全金鑰作為登入的輔助確認。不用密碼就可以使用鑰匙的能力還有很長的路要走。
單點登入服務也存在隱私問題。當你點選“使用谷歌登入”或“使用Facebook登入”時,服務運營商谷歌或Facebook知道你正在登入什麼。
即使谷歌用**取代密碼的夢想成真,也不會消除密碼。Verge這樣總結了谷歌的計劃:“如果你已經登入到你的**,那麼這可以用來'引導'下一個裝置,你想登入到你的谷歌帳戶。”
你可以避免使用你的密碼很長一段時間,但它仍然在後臺。畢竟,如果你丟失了所有的裝置,你就需要它。
密碼仍然很普遍。它們易於設定和使用。密碼“替換”提供了更多的方便或額外的安全性。但是,如果您丟失了裝置並且無法使用生物特徵或硬體安全,您將始終需要一種重新獲得訪問許可權的方法。
1Password營運長馬特•戴維(Matt Davey)表示:“我認為總會有一些需要密碼的邊緣案例。”。例如,在iOS 13中使用Apple登入提供了一個基於web的登入選項,在非Apple裝置上登入時使用Apple ID密碼。密碼在任何地方都可以使用,並且在高階生物特徵或硬體安全功能不可用時是通用的預設值。
正如Goldberg所說,對於網站來說,“密碼是非常非常容易實現的”。“它們仍然是服務運營商使用的最直接的東西。”
這就是為什麼1Password看好密碼管理器的未來。該公司表示,即使競爭日益激烈,新使用者也越來越多,蘋果、谷歌和Mozilla等公司對密碼管理也越來越重視。
扼殺密碼的夢想遙遙無期。即使過程進展順利,最好的情況是我們會慢慢前進,用更簡單的密碼替代。
總有一天,密碼可能會被降級到後臺,成為一種被遺忘已久的帳戶恢復方法。但它們可能會在未來很長一段時間內出現。把它們從大多數人的日常生活中驅逐出去的鬥爭將是漫長而艱苦的。但完全殺掉密碼?這更難想象。
歲末將至,2017年對科技來說是史詩般的一年。我們認為回顧過去一年的科技新聞,看看哪些報道成為頭條新聞是個好主意。但請記住,我們儘量報道你可以利用的科技新聞,因為那是我們的事。。。 ...
...,他們擔心特朗普**的移民政策可能長期對計算機研究和科技產業都不利。 谷歌傑出工程師、加州大學伯克利分校前教授戴維·帕特森(David Patterson)對《****》說:“世界上最聰明的人都想來這裡當研究生,但現在他...
...公司如何提供雲服務和定製應用內支付選項的規定,也讓科技和遊戲行業的反應用商店情緒日益高漲。就在昨天,在Epic實施了自己的應用內支付處理系統後,蘋果將Epic Games的Fortnite從應用商店中刪除,導致Epic對該公司提起反壟...
...心問題之一。在裝置加密方面,它也遠遠領先於其他大型科技公司。在裝置加密和跟蹤方面,其他大型科技公司應該更多地效仿蘋果的做法。信用證到期。 說到應得的信用——我很尷尬地說,我忘記了這一點,直到約翰格魯伯...
AT&T執行長蘭德爾·斯蒂芬森(Randall Stephenson)是無線行業最有權勢的人物之一,也是AT&T移動公司Ralph de la Vega的老闆。本週,作為米爾肯研究所2012年全球會議的一部分,他發言了一個多小時,並回答了一些問題。斯蒂芬森...
我們有段時間沒收到雷·奧齊的訊息了,這很不尋常。Ozzie從80年代初開始就一直是一個非常忙碌的人——他開發了第一個電子錶格應用程式VisiCalc,發明瞭Lotus Notes並以數十億美元的價格賣給了IBM,然後建立了Groove Networks,這...
...不久前,惠普的印表機業務還在穩步增長。正如《衛報》科技編輯查爾斯·亞瑟所指出的那樣,2005年至2008年間,印表機部門的銷售額以健康的速度增長。和許多事情一樣,它們在金融危機來襲時跌入懸崖,但與其他一些行業不...
...。對手們沒有浪費時間。CTIA,自1984年以來一直代表無線行業的行業協會,今天向華盛頓巡迴上訴**提起訴訟。在一篇部落格文章中,該組織寫道,它打算回擊“FCC決定實施全面的新網路中立性規則,並將移動寬頻重新歸類為一...